通过

面向美国政府的 Microsoft Defender for Cloud Apps 产品/服务

  • 项目

Microsoft Defender for Cloud Apps GCC High 和美国国防部 (DoD) 产品/服务基于 Microsoft Azure 政府云构建,旨在与 Microsoft 365 GCC High 和 DoD 实现互操作。 GCC High 和 DoD 产品/服务使用的基础技术和功能与 Microsoft Defender for Cloud Apps 商业版实例相同。 因此,商业版产品/服务的公共文档应用作部署和运行该服务的起点。

Microsoft Defender for Cloud Apps 美国政府服务说明旨在概述在 GCC High 和 DoD 环境中提供的服务产品/服务,也将涵盖与商业版产品/服务间的差异。 有关政府产品/服务的详细信息,请参阅美国政府服务说明

注意

使用 GCC 的 Defender for Cloud Apps 客户应使用此 URL 登录到服务:https://portal.cloudappsecuritygov.com

开始使用面向美国政府的 Microsoft Defender for Cloud Apps 产品/服务

面向 GCC High 和 DoD 客户的 Microsoft Defender for Cloud Apps 产品/服务基于 Microsoft Azure 政府云构建,旨在与 Microsoft 365 GCC High 和 DoD 环境实现互操作。 有关该服务及其使用方式的完整详细信息,请参阅 Microsoft Defender for Cloud Apps 公共文档。 应将公共文档用作部署和运行该服务的起点,以下服务说明详细介绍了其在 GCC High 或 DoD 环境中功能或特性的变化。

要开始,请使用“基本设置”页面访问 Microsoft Defender for Cloud Apps GCC High 或 DoD 门户,并确保配置符合网络要求。 要配置 Defender for Cloud Apps,以使用自己的密钥加密它在静态时收集的数据,请参阅使用自己的密钥加密 Defender for Cloud Apps 静态数据 (BYOK)。 遵循操作指南中的其他步骤,获取其他详细说明。

注意

数据加密目前仅适用于特定的 Microsoft Defender for Cloud Apps 政府产品/服务。

Microsoft Defender for Cloud Apps 美国政府版产品/服务中的功能差异

除非另有说明,否则 Microsoft Defender for Cloud Apps 的新增功能中记录的新功能版本(包括预览功能)将在 Microsoft Defender for Cloud Apps 商业环境中发布后三周内在 GCC High 和 DoD 环境中可用。

功能支持

面向美国政府的 Microsoft Defender for Cloud Apps 提供与 Microsoft Defender for Cloud Apps 商业环境同等的功能,但以下应用治理功能除外。 这些功能都在 GCC、GCC High 和 DoD 的支持路线图上:

应用治理预定义的应用策略警报:

  • 最近创建的应用同意率较低

  • 应用进行大量电子邮件搜索活动

  • 应用进行大量收件箱规则创建活动

  • 增加对 EWS 的应用内 API 调用

  • 有权访问多个 Microsoft 365 服务的可疑应用

应用治理威胁检测警报:

  • 从异常位置访问应用(证书更新后)

  • 应用执行驱动器枚举

  • 应用可通过利用 OAuth 重定向漏洞重定向到网络钓鱼 URL

  • URL 信誉不佳的应用

  • 具有可疑 OAuth 范围的应用执行图形调用,以读取电子邮件和创建收件箱规则

  • 仿冒 Microsoft 徽标的应用

  • 应用与拼写错误的域关联

  • 与已知网络钓鱼活动关联的应用元数据

  • 与以前标记的可疑应用关联的应用元数据

  • 与可疑邮件相关的活动关联的应用元数据

  • 具有访问大量电子邮件的 EWS 应用程序权限的应用

  • 应用程序启动了多个失败的 KeyVault 读取活动且未成功

  • 最近发现主要使用 ARM API 或 MS Graph 的休眠 OAuth 应用会访问 EWS 工作负载

  • 最近发现主要使用 ARM 或 EWS 的休眠 OAuth 应用会访问 MS Graph 工作负载

  • 最近发现主要使用 MS Graph 或 Exchange Web Services 的休眠 OAuth 应用会访问 ARM 工作负载

  • 最新没有 ARM 活动的休眠 OAuth 应用

  • 最新没有 EWS 活动的休眠 OAuth 应用

  • 最近没有 MS Graph 活动的休眠 OAuth 应用

  • 在创建虚拟机时,启动异常高峰的 Entra 业务线应用

  • 凭据更新后增加对 Exchange 的应用内 API 调用

  • 具有多次同意吊销的新应用

  • 使用异常用户代理的 OAuth 应用

  • 具有可疑回复 URL 的 OAuth 应用

  • 具有可疑回复 URL 的 OAuth 应用

  • 使用 Microsoft Graph PowerShell 执行的可疑枚举活动

  • 新访问 API 的未使用的应用

后续步骤